Vyšetřování v kybernetických zátěžích Rozptylu po celém světě

V úterý vietnamský bezpečnostní prodejce Bach Khoa Internetwork Security (Bkis) uvedl, že identifikoval server master command-and-control používaný pro koordinaci útoků typu "denial of service" ("denial-of-service" útoky), který obsadil velké webové stránky USA a Jihokorejské vlády.

pokyny k počítačům zombie, které tvoří botnet, který lze použít k bombardování webových stránek s provozem, což znemožňuje používání stránek. Server byl na adrese IP (Internet Protocol), kterou společnost Global Digital Broadcast, společnost založená v Brightonu v Anglii, založila v Brightonu.

> Tento hlavní server distribuoval pokyny pro osm dalších serverů příkazu a kontroly používaných při útoku. Bkis, který se podařilo získat kontrolu nad dvěma z osmi serverů, uvedl, že v útoku bylo použito 166 908 napadených počítačů v 74 zemích a bylo naprogramováno, aby dostávali nové pokyny každé tři minuty.

Ale hlavní server není v síti SPOJENÉ KRÁLOVSTVÍ; je to v Miami, řekl Tim Wray, jeden z vlastníků společnosti Digital Global Broadcast, který v úterý večer v Londýně promluvil s IDG News Service.

Server patří k Digital Latin America (DLA), který je jedním z digitálních Partneři globálního vysílání. DLA kóduje latinskoamerické programování pro distribuci přes zařízení kompatibilní s protokolem IP TV, jako jsou set-top boxy.

Nové programy jsou převzaty ze satelitu a kódovány do správného formátu, poté posílány přes VPN (Virtual Private Network) kde společnost Digital Global Broadcast distribuuje obsah, řekl Wray. Připojení VPN způsobilo, že se zdá, že hlavní server patřil k digitálním globálním vysílání, když je skutečně v datovém centru Miami v DLA.

Inženýři z Digital Global Broadcast rychle odmítli, že útoky pocházejí od severokorejské vlády, může být zodpovědný.

Společnost Digital Broadcast oznámila problém svým poskytovatelem hostingu C4L, řekl Wray. Jeho společnost byla také kontaktována Agenturou pro závažnou organizovanou trestnou činnost (SOCA) Spojeného království. Úředník SOCA řekl, že nemůže potvrdit nebo popřít vyšetřování. Úředníci DLA nemohli být okamžitě dosaženi.

Vyšetřovatelé budou muset zabavit tento hlavní server pro forenzní analýzu. Je to často závod proti hackerům, protože pokud je server stále pod jejich kontrolou, mohou být kritické údaje vymazány, což by mohlo pomoci při vyšetřování. "" Je to zdlouhavý proces a chcete to udělat co nejrychleji, "řekl Jose Nazario, manažer bezpečnostního výzkumu pro Arbor Networks.

Dozoru, jako jsou log soubory, kontrolní záznamy a nahrané soubory, budou hledat vyšetřovatelé, řekl Nazario. "Svatý grál, který hledáte, jsou kousky forenzní, které odhalují, odkud se útočník spojil a kdy," řekl.

Pro útoky hackeři modifikovali relativně starý kus malware nazvaný MyDoom, který se poprvé objevil Leden 2004. MyDoom má vlastnosti e-mailových červů a může také stáhnout jiný malware do počítače a být naprogramován tak, aby prováděl útoky typu "denial-of-service" proti webovým stránkám.

Analýza varianty aplikace MyDoom používaná při útoku není impozantní. "Stále si myslím, že kód je docela nedbalý, což doufám, že to znamená, že [hackeři] nechávají dobrou stopu důkazů," řekl Nazario.